New-AzureADServiceAppRoleAssignment
Atribui uma função de aplicativo a um usuário, um grupo ou outra entidade de serviço.
Syntax
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>] Description
O cmdlet New-AzureADServiceAppRoleAssignment atribui uma função de aplicativo de uma entidade de serviço de recurso a um usuário, um grupo ou outra entidade de serviço. As funções de aplicativo atribuídas às entidades de serviço também são conhecidas como permissões de aplicativo.
Observação
O comportamento descrito aqui se aplica quando Connect-AzureAD foi chamado sem parâmetros ou usando uma identidade de aplicativo de propriedade da Microsoft. Confira o Exemplo 4 para saber mais sobre a diferença quando conectado usando um registro de aplicativo ou identidade de serviço de propriedade do cliente.
Exemplos
Exemplo 1: Atribuir uma função de aplicativo a outra entidade de serviço
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdNeste exemplo, uma entidade de serviço do cliente recebe uma função de aplicativo (permissão de aplicativo) definida por uma entidade de serviço de recurso (por exemplo, uma API):
ObjectId: a ObjectId da entidade de serviço de recurso (por exemplo, uma API).ResourceId: a ObjectId da entidade de serviço de recurso (por exemplo, uma API).Id: a ID da função de aplicativo (definida na entidade de serviço de recurso) a ser atribuída à entidade de serviço do cliente. Se nenhuma funções de aplicativo tiver sido definida no aplicativo de recursos, você poderá usar00000000-0000-0000-0000-000000000000.PrincipalId: a ObjectId da entidade de serviço do cliente à qual você está atribuindo a função de aplicativo.
Observação
Este exemplo se aplica quando Connect-AzureAD foi chamado sem parâmetros. Confira o Exemplo 4 para ver como esse cmdlet é usado quando conectado usando um registro de aplicativo ou identidade de serviço de propriedade do cliente.
Exemplo 2: Atribuir uma função de aplicativo a um usuário
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectIdNeste exemplo, um usuário recebe uma função de aplicativo definida por um aplicativo de recurso:
ObjectId: a ObjectId da entidade de serviço do aplicativo.ResourceId: a ObjectId da entidade de serviço do aplicativo.Id: a ID da função de aplicativo (definida na entidade de serviço do aplicativo) a ser atribuída ao usuário. Se nenhuma funções de aplicativo tiver sido definida para o aplicativo de recursos, você poderá usar00000000-0000-0000-0000-000000000000para indicar que o aplicativo está atribuído ao usuário.PrincipalId: a ObjectId do usuário ao qual você está atribuindo a função de aplicativo.
Observação
Este exemplo se aplica quando Connect-AzureAD foi chamado sem parâmetros. Confira o Exemplo 4 para ver como esse cmdlet é usado quando conectado usando um registro de aplicativo ou identidade de serviço de propriedade do cliente.
Exemplo 3: Atribuir uma função de aplicativo a um grupo
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectIdNeste exemplo, um grupo recebe uma função de aplicativo definida por um aplicativo de recurso. Todos os usuários que são membros diretos do grupo atribuído são considerados atribuídos à função de aplicativo:
ObjectId: a ObjectId da entidade de serviço do aplicativo.ResourceId: a ObjectId da entidade de serviço do aplicativo.Id: a ID da função de aplicativo (definida na entidade de serviço do aplicativo) a ser atribuída ao grupo. Se nenhuma funções de aplicativo tiver sido definida no aplicativo de recursos, você poderá usar00000000-0000-0000-0000-000000000000para indicar que o aplicativo está atribuído ao grupo.PrincipalId: a ObjectId do grupo ao qual você está atribuindo a função de aplicativo.
Observação
Este exemplo se aplica quando Connect-AzureAD foi chamado sem parâmetros. Confira o Exemplo 4 para ver como esse cmdlet é usado quando conectado usando um registro de aplicativo ou identidade de serviço de propriedade do cliente.
Exemplo 4: quando conectado usando um aplicativo ou identidade de serviço de propriedade do cliente
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdO comportamento desse cmdlet muda quando conectado ao módulo Azure AD PowerShell usando um registro de aplicativo ou identidade de serviço de propriedade do cliente, incluindo:
- Ao se conectar como uma entidade de serviço e
- Ao usar o
AadAccessTokenparâmetro com um token de acesso obtido para um registro de aplicativo ou identidade de serviço de propriedade do cliente.
Nessas circunstâncias, esse cmdlet só é usado para atribuir uma função de aplicativo a outra entidade de serviço, identificada pelos ObjectId parâmetros e PrincipalId :
ObjectId: a ObjectId da entidade de serviço do cliente à qual você está atribuindo a função de aplicativo.ResourceId: a ObjectId da entidade de serviço de recurso (por exemplo, uma API).Id: a ID da função de aplicativo (definida na entidade de serviço de recurso) a ser atribuída à entidade de serviço do cliente. Se nenhuma funções de aplicativo tiver sido definida no aplicativo de recursos, você poderá usar00000000-0000-0000-0000-000000000000.PrincipalId: a ObjectId da entidade de serviço do cliente à qual você está atribuindo a função de aplicativo.
Quando conectado usando um aplicativo ou identidade de serviço de propriedade do cliente, use New-AzureADUserAppRoleAssignment e New-AzureADGroupAppRoleAssignment para criar atribuições de função de aplicativo para um usuário e grupos, respectivamente.
Parâmetros
-Id
Especifica a ID da função de aplicativo (definida na entidade de serviço de recurso) a ser atribuída. Se nenhuma funções de aplicativo tiver sido definida no aplicativo de recursos, você poderá usar 00000000-0000-0000-0000-000000000000 para indicar a atribuição do aplicativo ou serviço de recurso, sem especificar uma função de aplicativo.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InformationAction
Especifica como esse cmdlet responde a um evento de informações. Os valores aceitáveis para esse parâmetro são:
- Continuar
- Ignorar
- Consultar
- SilentlyContinue
- Stop
- Suspend
| Type: | ActionPreference |
| Aliases: | infa |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InformationVariable
Especifica uma variável de informações.
| Type: | String |
| Aliases: | iv |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ObjectId
Especifica a ObjectId da entidade de serviço de recurso (como um aplicativo ou uma API) que será atribuída a um usuário, um grupo ou outra entidade de serviço.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-PrincipalId
Especifica a ObjectId do usuário, grupo ou outra entidade de serviço à qual a função de aplicativo está sendo atribuída.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ResourceId
Especifica a ObjectId da entidade de serviço de recurso (como um aplicativo ou uma API) que será atribuída a um usuário, um grupo ou outra entidade de serviço.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Observações
Consulte o guia de migração para New-AzureADServiceAppRoleAssignment para o Microsoft Graph PowerShell.
Links Relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de